Rekor 透明日志完整教程
Rekor 透明日志完整教程
Rekor 是 Sigstore 项目的核心组件之一,提供了一套透明日志(Transparency Log)服务,用于记录和验证软件供应链中的签名与完整性信息。本教程将带你从概念到实践,全面掌握 Rekor 的使用与部署。
为什么需要 Rekor?
在现代软件供应链攻击频发的背景下(如 SolarWinds、Log4Shell),确保软件构件(artifacts)的来源可信和完整性至关重要。Rekor 解决了以下核心问题:
| 问题 | Rekor 的解决方案 |
|---|---|
| 签名可以被悄悄替换 | 透明日志保证所有签名记录公开可审计 |
| 密钥泄露后难以追溯 | 基于 Merkle Tree 的不可篡改历史 |
| 难以验证第三方构件 | 统一的查询接口,支持多种签名格式 |
| 中心化信任风险 | 开放透明,任何人都可独立验证 |
教程目录
本教程共 10 章,从入门到高级部署,循序渐进:
| 章节 | 标题 | 核心内容 |
|---|---|---|
| 01 | Rekor 概述 | Sigstore 生态、供应链安全背景、透明日志原理、适用场景 |
| 02 | 安装与配置 | rekor-cli、rekor-server、Docker、cosign 集成、密钥配置 |
| 03 | 基本操作 | 创建条目、验证、查询、搜索、时间戳、包含证明 |
| 04 | 架构详解 | Merkle Tree、Trillian、透明日志、不可篡改、包含证明 |
| 05 | 签名集成 | cosign、Sigstore、Fulcio、OIDC、无密钥签名 |
| 06 | 验证机制 | 签名验证、日志验证、包含证明、审计、批量验证 |
| 07 | CI/CD 集成 | GitHub Actions、GitLab、自动化签名、验证、发布 |
| 08 | 私有实例部署 | 部署、配置、存储、索引、高可用、监控 |
| 09 | Docker 部署 | Docker Compose、Kubernetes、配置管理、数据持久化 |
| 10 | 最佳实践 | 供应链安全策略、签名策略、监控、合规、企业部署 |
适用读者
- DevOps 工程师:希望在 CI/CD 流水线中集成软件签名和验证
- 安全工程师:需要构建企业级供应链安全方案
- 平台工程师:需要部署和运维私有 Rekor 实例
- 开源维护者:希望为项目增加透明的签名和审计能力
前置知识
- 基本的命令行操作经验
- 了解 Git 基本概念
- 对 PKI(公钥基础设施)有初步认识
- (可选)Docker / Kubernetes 基础
快速开始
如果你想直接动手体验,可以从第 2 章开始安装,然后跳到第 3 章进行基本操作:
# 安装 cosign(包含 rekor 交互能力)
brew install sigstore/tap/cosign
# 验证一个已有的透明日志条目
cosign verify --certificate-identity=user@example.com \
--certificate-oidc-issuer=https://github.com/login/oauth \
ghcr.io/example/image:tag